Per quale ragione occorre rispettare la privacy all’interno delle realtà condominiali? Qual è il compito dell’amministratore in materia? Cosa prevede il GDPR?

Nell’era digitale, la tutela della privacy è diventata un tema di fondamentale importanza che permea ogni aspetto della vita quotidiana, incluso l’ambiente condominiale. Gestire un condominio non significa solo occuparsi di questioni amministrative e contabili, ma anche assumere la delicata responsabilità di proteggere i dati personali dei residenti. La domanda che dobbiamo porci sono: perché è importante la privacy nel condominio? Qual è il ruolo dell’amministratore di condominio in tema di privacy?

In un contesto dove le informazioni personali sono sempre più preziose e vulnerabili, l’amministratore riveste un ruolo chiave nel garantire il rispetto delle normative sulla privacy. Conoscere e applicare correttamente le leggi vigenti è essenziale per tutelare i diritti dei condòmini ed evitare spiacevoli conseguenze, che possono tradursi in sanzioni amministrative, richieste di risarcimento del danno e persino in procedimenti penali.

La privacy in condominio assume un’importanza cruciale per diverse ragioni:

• Tutela dei dati personali: i dati personali dei condòmini, come anagrafica, recapiti, informazioni economiche e patrimoniali, sono informazioni sensibili che necessitano di adeguata tutela. L’amministratore ha il dovere di trattare tali dati con la massima riservatezza e nel rispetto dei principi di liceità, correttezza e trasparenza.
• Prevenzione di abusi e discriminazioni: la violazione della privacy può esporre i condòmini a rischi concreti, come furti d’identità, truffe, discriminazioni basate su dati sensibili o addirittura stalking. Un’attenta gestione dei dati da parte dell’amministratore contribuisce a prevenire tali abusi e a garantire un ambiente condominiale sicuro e sereno.
• Fiducia e rispetto reciproco: il rispetto della privacy crea un clima di fiducia e rispetto reciproco tra i condòmini e l’amministratore. I residenti si sentono tutelati e valorizzati, mentre l’amministratore rafforza la propria immagine di professionista affidabile e competente.

Amministratore: titolare o responsabile del trattamento dei dati personali?

Per comprendere qual è il ruolo dell’amministratore di condominio in tema di privacy, occorre fare necessariamente riferimento al Regolamento Generale sulla protezione dei dati personali (da ora in poi GDPR), che rappresenta il punto di riferimento della normativa sulla privacy, oltre a quel che resta del Codice della Privacy del 2003, ormai modificato e integrato dal GDPR. L’attenzione va posta in particolare sulle due figure delineate dal GDPR del Titolare e del Responsabile del trattamento dei dati personali. 

Prima di far questo però occorre analizzare che cosa si intenda per trattamento dei dati personali, in base a quanto previsto dal GDPR. 

L’articolo 4 al punto 2 del GDPR prevede che si intende per trattamento qualsiasi operazione, applicata ai dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione,  la cancellazione o la distruzione.

Chiarito ciò, occorre ora osservare che in base all’articolo 4 paragrafo  7, si intende per Titolare del trattamento dei dati personali colui che singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Sempre all’articolo 4 ma al paragrafo 8, il GDPR prevede invece che si intende per Responsabile del trattamento colui che tratta dati personali per conto del titolare del trattamento.

Alla luce di ciò si può sostenere che il Titolare del trattamento è colui che individua lo scopo e le modalità con cui i dati personali devono essere trattati e si differenzia dal Responsabile che è invece colui che viene incaricato dallo stesso Titolare per svolgere una serie di operazioni individuate proprio da quest’ultimo.

Ma in che modo tutto ciò può essere declinato in ambito condominiale? 

Un amministratore può trovarsi ogni giorno davanti al problema della tutela della privacy condominiale. Poniamo il caso di un avviso posto in bacheca condominiale dall’amministratore che indichi i nominativi dei condòmini morosi, oppure l’installazione di telecamere condominiali che non prevedano però gli avvisi informativi della loro presenza. Ma pensiamo ancora ad una fuga di dati che avvenga sul sito web del condominio a causa dell’attività di un hacker che riesca a bucare il sistema informatico. In tutti questi casi siamo davanti ad una evidente violazione della normativa sulla privacy. Viene pertanto spontaneo chiedersi in che termini ne debba rispondere l’amministratore di condominio. Anticipiamo sin da subito che la risposta può cambiare a seconda che l’amministratore rivesta il ruolo di Responsabile o di Titolare del trattamento.

Prima di dare una risposta, è necessario individuare quanto espresso dal Garante della Privacy in particolare nell’ultima relazione annuale  pubblicata in data 6 luglio 2023, relativa all’anno 2022.

Nella relazione l’Autorità non innova il quadro giuridico di riferimento, rinviando al provvedimento generale del 18 maggio 2006. Punto fondamentale della relazione è la parte nella quale l’amministratore di condominio viene definito Responsabile eventuale del trattamento. L’indicazione dell’amministratore come responsabile eventuale, ci permette di comprendere come questo ruolo possa essere assegnato all’amministratore, ma non vi sia un obbligo previsto dalla legge, sulla base del quale questi debba necessariamente rivestire tale ruolo.  

Questo concetto viene rafforzato anche da quanto riportato nell’ottimo vademecum “Il condominio e la privacy” del 10 ottobre 2013 redatto dal Garante della Privacy, che si pone come semplice guida per coloro che si apprestano ad affrontare il mondo della privacy condominiale. Il Vademecum indica infatti che l’assemblea può scegliere di designare l’amministratore anche formalmente “responsabile del trattamento” dei dati personali dei partecipanti al condominio (proprietari, locatari, usufruttuari), attribuendogli uno specifico ruolo in materia di privacy, senza che ciò però possa essere considerato in alcun modo un obbligo previsto dalla legge.

La figura del responsabile del trattamento all’interno del condominio non appare dunque necessariamente obbligatoria, essendo opportuno ricorrere a questa solo laddove vi sia un nutrito numero di dati personali da gestire, per i quali siano richieste operazioni più complesse.

Nel caso in cui l’amministratore non venga nominato responsabile da parte dell’assemblea, secondo l’orientamento dettato dal Garante questi dovrà essere considerato Titolare del trattamento insieme ai condòmini. Questi infatti oltre ad essere gli interessati al trattamento assumono anche il ruolo di titolari. Essendo l’amministratore persona deputata, in virtù del suo ruolo, alla gestione dei dati personali, si può ritenere che questi assuma il ruolo di titolare del trattamento, insieme ai condomini, al momento dell’atto di nomina come amministratore. 

In definitiva, le strade percorribili, secondo quanto delineato dal Garante della privacy, sono due:

1. L’amministratore come Responsabile del trattamento se appositamente nominato dall’assemblea;
2. L’amministratore come Titolare del trattamento, insieme agli altri condomini, in assenza dell’apposita nomina come responsabile. 

Nel prossimo paragrafo vedremo quali sono le differenze fra le due figure.

L’amministratore-titolare e l’amministratore-responsabile: cosa cambia?

Chiarito dunque che l’amministratore quando si parla di privacy può avere due ruoli differenti all’interno del condominio, a seconda che intervenga o meno la nomina come responsabile del trattamento, è ora opportuno comprendere cosa comporti l’assunzione di una qualifica o dell’altra, in termini di responsabilità. 

Come già detto, nell’ipotesi in cui l’amministratore non venga nominato responsabile del trattamento, assumerà la qualifica di titolare del trattamento insieme ai singoli condòmini. In questo caso l’articolo 82 del GDPR (principio di accountability) prevede che il titolare (dunque amministratore e condòmini nel nostro caso), qualora si verifichi un danno causato da una violazione del Regolamento, sarà tenuto al risarcimento se non dimostra che il danno è stato causato da un comportamento che non può essergli attribuito.

Nel caso in cui invece l’amministratore venga nominato responsabile del trattamento sarà chiamato a rispondere del danno, solo qualora questi non abbia rispettato le prescrizioni che gli erano state impartite dal titolare del trattamento (i singoli condomini in sede di assemblea) con l’apposito atto di nomina come responsabile.

Sia il titolare che il responsabile, come sopra espresso, possono comunque liberarsi dall’obbligo di risarcimento qualora dimostrino che il danno è stato causato da un comportamento a loro non ricollegabile, ma qualora invece il danno dipenda effettivamente dal comportamento di entrambi, il punto 4 dell’articolo 82 del GDPR prevede che saranno chiamati a rispondere in maniera solidale, cioè sia i condomini che l’amministratore. In tal caso, come previsto dal punto 5 dell’art. 82 del GDPR, l’adempimento di uno dei due libererà l’altro dall’obbligo di risarcire, salvo poi potersi rivalere il primo sul secondo per ottenere quanto gli spetti.

Per capire meglio, torniamo dunque ai casi pratici del paragrafo precedente.

Abbiamo detto che l’amministratore commette una violazione della normativa sulla privacy pubblicando sulla bacheca condominiale un avviso che contenga i nominativi dei condomini morosi. In tal caso l’amministratore risponderà sia nell’ipotesi in cui sia titolare, sia nel caso in cui sia stato nominato responsabile. Nel caso in cui sia titolare sarà infatti difficile dimostrare che il comportamento non sia a lui imputabile, essendo stato lui stesso ad affiggere l’avviso in bacheca. Andranno invece esenti da responsabilità i condòmini che potranno facilmente dimostrare che l’affissione dell’avviso in bacheca è stata un’iniziativa autonoma dell’amministratore.                   Nel caso in cui invece sia stato nominato responsabile del trattamento, questi risponderà solo laddove non si sia attenuto alle direttive impartite dal titolare, cioè il complesso dei condòmini.      In tal caso è quindi facile pensare che sarà chiamato a rispondere, poiché è impensabile immaginare che i condòmini possano aver dato delle indicazioni all’amministratore, nell’atto di nomina a  responsabile, che permettessero l’esposizione di avvisi di tal genere sulla bacheca condominiale.

Simile è il caso delle telecamere condominiali apposte senza gli avvisi informativi della loro presenza. Poniamo che un soggetto, camminando nei pressi del portone di un condominio, si accorga della presenza di una telecamera di cui non si era avveduto a causa dell’assenza di cartelli informativi. In tal caso, nell’ipotesi in cui tale soggetto riuscisse a dimostrare il danno subito, dovrebbe essere risarcito sia dai condòmini che dall’amministratore in qualità di titolari del trattamento, salvo dimostrare che la causazione del danno non dipenda dall’uno o dall’altro. Nel caso in cui invece l’amministratore fosse stato nominato responsabile del trattamento, è facile immaginare che, dovendo questi gestire il trattamento dei dati personali per conto del titolare (il condominio), sarà chiamato a risponderne direttamente.

Nel caso in cui invece un hacker dovesse entrare nel sito web del condominio e carpire i dati personali dei condòmini, l’amministratore e i condòmini ne risponderanno congiuntamente in assenza di nomina a responsabile, salvo sempre dimostrare che la causazione del danno non è dipesa dall’uno o dall’altro. Nel caso invece in cui la nomina a responsabile intervenga, l’amministratore ne risponderà solo nel caso in cui, non essendosi attenuto alle prescrizioni impartite dal titolare, ad esempio sulle misure di sicurezza da adottare, abbia cagionato il danno ai condòmini, permettendo la fuga di dati. Ma nel caso in cui l’amministratore si sia attenuto a tutte le prescrizioni relative alle misure di sicurezza, che gli erano state indicate dal titolare (leggi condòmini), questi andrà esente da responsabilità.

Pertanto se dovessimo rispondere alla domanda posta all’inizio su quale sia il ruolo  dell’amministratore nell’ambito della privacy condominiale, possiamo sostenere che: 

1. l’amministratore come titolare del trattamento, senza l’atto di nomina a responsabile, stabilisce, insieme ai condòmini, i mezzi e le finalità del trattamento e risponde con questi in caso di danno causato dalla violazione del GDPR (salvo dimostrare che il danno sia stato causato da fatto a lui non addebitabile);
2. l’amministratore nominato responsabile del trattamento ha invece il compito di attenersi alle prescrizioni impartitegli dai condòmini nella gestione dei dati personali, essendo tenuto al risarcimento solo nel caso in cui non abbia adempiuto a tali prescrizioni, avendo così causato un danno agli interessati.

Da quanto sopra espresso, emerge un elemento fondamentale: l’amministratore di condominio, sia che sia responsabile, sia che sia titolare, può essere chiamato a rispondere in caso di violazioni del GDPR.

Per questo motivo è opportuno che questi adotti tutte le misure necessarie a prevenire questa eventualità, cercando di non incorrere in alcun tipo di responsabilità.